本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 Amazon Keyspaces PITR 的還原資料表 IAM 許可
<a name="howitworks_restore_permissions"></a>

本節摘要說明如何設定 AWS Identity and Access Management (IAM) 主體的許可來還原 Amazon Keyspaces 資料表。在 IAM 中， AWS 受管政策`AmazonKeyspacesFullAccess`包含還原 Amazon Keyspaces 資料表的許可。若要實作具有最低必要許可的自訂政策，請考慮下一節中概述的需求。

若要成功還原資料表，IAM 主體需要下列最低許可：
+ `cassandra:Restore` – 目標資料表需要還原動作才能還原。
+ `cassandra:Select` – 從來源資料表讀取時需要選取動作。
+ `cassandra:TagResource` – 標籤動作是選用的，只有在還原操作新增標籤時才需要。

這是將最低必要許可授予使用者以還原金鑰空間 中的資料表的政策範例`mykeyspace`。

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "cassandra:Restore",
            "cassandra:Select"
         ],
         "Resource":[
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/mykeyspace/*",
            "arn:aws:cassandra:us-east-1:111122223333:/keyspace/system*"
         ]
      }
   ]
}
```

根據其他選取的功能，可能需要其他許可才能還原資料表。例如，如果來源資料表使用客戶受管金鑰進行靜態加密，Amazon Keyspaces 必須具有存取來源資料表之客戶受管金鑰的許可，才能成功還原資料表。如需詳細資訊，請參閱[加密資料表的 PITR 還原](PointInTimeRecovery_HowItWorks.md#howitworks_backup_encryption)。

如果您使用 IAM 政策搭配[條件金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)來限制特定來源的傳入流量，您必須確保 Amazon Keyspaces 具有代表您委託人執行還原操作的許可。如果您的政策將傳入流量限制為下列任何項目，您必須將 `aws:ViaAWSService`條件金鑰新增至 IAM 政策：
+ 使用 的 VPC 端點 `aws:SourceVpce`
+ 使用 的 IP 範圍 `aws:SourceIp`
+ 使用 VPCs `aws:SourceVpc`

當任何 AWS 服務使用委託人的登入資料提出請求時， `aws:ViaAWSService`條件金鑰允許存取。如需詳細資訊，請參閱《[IAM 使用者指南》中的 IAM JSON 政策元素：條件索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 **

以下是將來源流量限制為特定 IP 地址，並允許 Amazon Keyspaces 代表委託人還原資料表的政策範例。

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"CassandraAccessForCustomIp",
         "Effect":"Allow",
         "Action":"cassandra:*",
         "Resource":"*",
         "Condition":{
            "Bool":{
               "aws:ViaAWSService":"false"
            },
            "ForAnyValue:IpAddress":{
               "aws:SourceIp":[
                  "123.45.167.89"
               ]
            }
         }
      },
      {
         "Sid":"CassandraAccessForAwsService",
         "Effect":"Allow",
         "Action":"cassandra:*",
         "Resource":"*",
         "Condition":{
            "Bool":{
               "aws:ViaAWSService":"true"
            }
         }
      }
   ]
}
```

 如需使用`aws:ViaAWSService`全域條件金鑰的範例政策，請參閱 [VPC 端點政策和 Amazon Keyspaces point-in-time(PITR)](vpc-endpoints.md#VPC_PITR_restore)。